多重认证并非固若金汤,谁是救命稻草?

日期: 2016-07-14 作者:赵长林 来源:TechTarget中国

很多证据表明,获取和滥用内部人员凭据的外部威胁都与内部人员有关。很多安全专家认为,多重认证是一种减轻由此种威胁造成风险的好方法。但是,我们需要考虑到,多重认证在减少外部人员的风险时仍然存在局限性。 一个很重要的问题是,有哪种安全控制曾被证明是绝对有效的?即使与互联网隔离的网络也有可能遭到USB设备上所携带的恶意软件攻击。

与之类似的是,虽然多重认证给口令窃取带来了很大困难,但多重认证是否绝对无懈可击?为了进一步减轻风险,还要考虑哪些风险?在防止外部威胁进入企业时,还是会发生情况导致多重认证失效: 外包 你可能听说过有一位开发人员曾将其工作交给外国人做的故事,如此一来,开发者就可以上网购物并更新……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

很多证据表明,获取和滥用内部人员凭据的外部威胁都与内部人员有关。很多安全专家认为,多重认证是一种减轻由此种威胁造成风险的好方法。但是,我们需要考虑到,多重认证在减少外部人员的风险时仍然存在局限性。

一个很重要的问题是,有哪种安全控制曾被证明是绝对有效的?即使与互联网隔离的网络也有可能遭到USB设备上所携带的恶意软件攻击。

与之类似的是,虽然多重认证给口令窃取带来了很大困难,但多重认证是否绝对无懈可击?为了进一步减轻风险,还要考虑哪些风险?在防止外部威胁进入企业时,还是会发生情况导致多重认证失效:

外包

你可能听说过有一位开发人员曾将其工作交给外国人做的故事,如此一来,开发者就可以上网购物并更新其社交网站的信息,同时还能承担工作责任。这位开发人员的雇主是一家重要的基础架构公司,此公司努力通过RSA令牌实施双重认证并访问公司的VPN。但是,他们都没有考虑到编码人员心甘情愿地将其登录凭据交给了一家外国咨询公司,并且只需向其支付薪水可以搞定。如此,所有的安全举措岂不成了摆设?

帮手

在多重认证的三个因素中,在生物识别提供了一种可以展示“你是你”的方法。但是,如果有人手上弄上了石膏而无法提供指纹或手印该怎么办?或者,一个振振有词的或忙得不可开交的员工说“把自己的密码卡忘在家里了”,又该怎么办?真正可能的是情况是,保安或同事可以提供帮助。

变向

用于硬件令牌中的一次性口令与移动应用使用的软令牌都容易被他人截获。通过运行在机器上或获得访问权的移动设备上或在移动运营商网络上的恶意软件就可以做到这些。恶意软件可用于阻止合法的用户请求,同时又可以捕获凭据使攻击者立即就能够使用。SIM卡也可以被欺骗。随着移动设备上漏洞的不断增多,以及通过移动平台进行的访问日渐增多,这种可能性越来越大。

共享

纽约大学做过的一项试验发现,通过短信发送到用户手机上用于口令重置的验证码,在要求用户转发后,攻击者很轻松地就可以获得。其方法是,在攻击者用一种看起来像是官方的文本(就像是合法供应商要求的验证)来跟进这个短消息时,大约有四分之一的用户愿意分享其收到的数字。如果攻击者已经成功地获得了这个口令,并在用户提交验证码进行验证时,他就可以访问账户。

同步

客户端和移动平台的浏览器之间的同步可以提供很大方便,并且其使用也很广泛。这种方便可以使我们共享短消息服务或者在平台之间分享网站的书签。阿姆斯特丹大学的一项研究指出,这种同步还可用于破坏基于移动平台的多重认证。如果桌面遭到了攻击和损害,那么这种同步就提供了一种机会,可以实现诸如远程安装等功能,将恶意软件安装到用户的移动设备上。在设备遭到破坏后,任何依赖多重认证的一切机制都无法幸免。

如何应对多重认证的局限性?

上述每个例子的威胁都可以通过不同的方法来减轻其危害。由于多数情况都与不安全的行为方式有关,所以教育成为一种减轻威胁的非常明显的方法。在多重认证中至少要有三个因素,所以,增加复杂性是另一种方法,但是必须考虑到这样做给用户带来的不方便。

我们还要考虑到,攻击者总会找到一种破坏凭据的方法。因而,我们不仅要控制访问,还要监视用户们如何访问和访问了什么,要查找一些可能表明正在发生攻击的异常模式。这种将用户行为分析、安全分析、身份分析等结合起来的观念虽然仍处于完善阶段,却提供了一种防止或限制由被凭据损坏而造成危险的可能性。

就像是所有的安全措施一样,多重认证并不是一种保护凭据的万全之策。但是,理解多重认证局限性的风险是减轻威胁的首要一步。

作者

赵长林
赵长林

TechTarget中国特邀作者

相关推荐

  • 数据泄露后:是否应强制执行密码重置?

    据报道,在重大数据泄露事故后,雅虎公司信息安全团队希望公司强制对所有电子邮件账户进行密码重置,但被管理层拒绝。那么,对于遭遇数据泄露的公司,应强制执行密码重置吗?这种做法有什么缺点?

  • 加密后门是否让美国科技企业面临倒退?

    “为什么政府不能从过去的错误中吸取教训?”Herold问道,“他们应该听听专家们的意见:要求所有美国企业部署加密后门程序只会给政府领导以及相信政府的公众一种安全的错觉。”

  • 防数据泄密:是否应实施“多重认证”?

    不管你如何认识多重认证,随着更多的行业规范都要求多重认证,多数企业都要尽早实施这种安全机制。虽然多重认证的实施存在一些困难,但它是一种可以减少风险而不仅仅是满足审计人员的重要举措之一。

  • 企业数据泄漏检测再思考

    多年来,企业已经投入大量资源来购买和部署新的安全产品以防止网络攻击,但却没有对数据泄露检测投资太多……